Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

È il più sofisticato gioco di guerra informatica e di dissimulazione, quello organizzato tutti gli anni a Tallinn dalla Nato. Oltre 500 persone di una ventina di Paesi dell’Alleanza atlantica in competizione tra loro per contrastare, decifrare e attribuire un cyberattacco simulato in un ambiente virtuale. «Lavoravamo sotto pressione, abbiamo dormito poco», commenta Emanuele Gentili, ad dell’azienda TigerSecurity Pro e parte del team italiano guidato dal ministero della Difesa che ha partecipato all’edizione dello scorso aprile. «Ma – aggiunge – abbiamo trovato il malware, il software malevolo, nei sistemi compromessi, lo abbiamo decodificato e siamo risaliti ai server di comando». 
Locked Shields – la più grande esercitazione di cyberdifesa al mondo – è organizzata fin dal 2010 dalla Nato in Estonia. Quest’anno l’Italia è arrivata settima. Prima una sorprendente Slovacchia. 
Più o meno negli stessi giorni di questa maestosa simulazione internazionale, ad aprile, la spicciola realtà faceva capolino sui sistemi industriali dell’Europa.
Il fornitore di energia elettrica tedesco Rwe, che gestisce la centrale nucleare di Gundremmingen, non lontano da Monaco di Baviera, comunicava infatti di aver trovato delle infezioni – tecnicamente un paio di worm – su alcuni dei suoi pc, che fortunatamente non erano collegati a Internet. Il malware – vecchio, non mirato specificamente alla centrale, e il cui obiettivo era rubare credenziali di accesso degli utenti – ci era arrivato tramite chiavetta Usb. Se quindi quel tipo di infezione non era particolarmente preoccupante, era tuttavia poco incoraggiante la facilità con cui era stata veicolata. Del resto furono proprio delle chiavette Usb che inizialmente nel 2009 veicolarono Stuxnet – la prima vera arma digitale – in Iran.
L’attacco in Europa
Ma l’Europa lo scorso 23 dicembre ha messo a segno anche un suo primato, registrando un cyber-attacco a una utility dell’energia ucraina, Prykarpattya Oblenergo, che ha tolto la corrente per alcune ore a 230 mila residenti della regione di Ivano-Frankivsk. A oltre tre mesi dall’attacco, i diversi esperti che lo hanno analizzato concordano su un fatto: è stato progettato ed eseguito molto bene. Per farla breve, gli attaccanti hanno prima infettato dei dipendenti dell’azienda via mail (attraverso le macro di allegati Word), quindi si sono mossi nella rete aziendale fino a ottenere le credenziali dei sistemi di controllo industriale – che in quel caso gestivano la rete elettrica. E mentre staccavano una serie di sottostazioni, mandando in blackout migliaia di ucraini, si premuravano perfino di bloccare le linee telefoniche dell’azienda – e le segnalazioni dei clienti – ingolfandole con finte chiamate.
«Dopo l’attacco alla centrale, i suoi tecnici per due mesi sono andati avanti comunicando attraverso carta e telefono. Tra l’altro i sistemi di protezione che avevano non sono molto diversi da quelli usati in Occidente», commenta Andrea Rigoni, advisor Nato e codirettore del progetto CyberDefence in Georgia.
L’intelligence ucraina ha subito puntato il dito contro Mosca, anche in considerazione delle tensioni geopolitiche tra i due Paesi. Ma come accade spesso in questi casi le prove per l’attribuzione di un attacco sono esili e spesso contraddittorie. E dare la caccia all’attaccante è un po’ come muoversi in un labirinto di specchi, con la complicazione che i cacciatori – le aziende di sicurezza – hanno a loro volta una collocazione geografica se non geopolitica ben definita.
Per capirci: nella sola Russia ci sarebbero almeno 14 gruppi diversi dediti ad attacchi cyber mirati e persistenti, scrive l’Istituto americano per la tecnologia delle infrastrutture critiche. Alcuni hanno ricevuto dai ricercatori nomi fantasmagorici, da Epic Turla a CosmicDuke. Il più noto e il più attivo, attribuito alla Russia se non direttamente al suo governo, si chiama Apt28 (o Sofacy). Apt sta per Advanced persistent threat, minaccia persistente avanzata: un tipo di attacco che punta a target specifici, prolungato nel tempo, che cerca di esfiltrare dati o in casi più rari sabotare sistemi. Dietro spesso ci sono degli Stati. 
Spie digitali
I primi a fare un rapporto dettagliato che svelava l’identikit di un simile gruppo sono stati gli analisti di Mandiant – società oggi parte della compagnia statunitense FireEye, forti legami col governo Usa – quando nel 2013 pubblicarono il report intitolato Apt1. Nel documento esponevano l’attività di un gruppo di cyberspionaggio cinese riconducibile, anche fisicamente, all’unità 61398 dell’esercito della Repubblica popolare.Nel 2014 è stata invece la volta di un report FireEye sulle spie digitali di Apt28, che venivano ricondotte al governo russo. «È un gruppo sponsorizzato dallo Stato, che colpisce soprattutto organizzazioni dell’Est Europa, in particolare ministeri degli Esteri. Il suo obiettivo è raccogliere intelligence utile per il governo di Mosca», commenta Yogi Chandiramani, direttore commerciale per Europa e Mediterraneo della stessa FireEye. Sulle finalità di questo Apt28 concordano diversi analisti. Alla società di cybersicurezza russa Kaspersky – autrice di numerosi rapporti su gruppi di cyberspionaggio, e considerata vicina al governo del suo Paese – lo chiamano Sofacy. «È un gruppo longevo negli anni. Hanno molti strumenti e risorse, se individui un loro malware nel tuo network dopo poche ore tornano con un altro tipo di software malevolo. E il loro obiettivo è lo spionaggio a lungo termine», racconta Vicente Diaz, ricercatore di punta di Kaspersky.
Ma se sull’analisi le diverse società spesso concordano, è sulla attribuzione di attacchi specifici che aumentano le divergenze. Chandiramani ad esempio riconduce il pesante e distruttivo attacco del 2015 alla tv francese Tv5monde proprio ad Apt28; Diaz invece si mostra scettico. Da notare che all’epoca si era addirittura parlato di Cyber Califfato, poi è invece subentrata la pista russa. E questo è solo un esempio del groviglio in cui si muovono anche i più navigati analisti quando devono districare simili assalti informatici.
Torniamo a questo punto al blackout ucraino. Il malware usato in quel caso si chiama BlackEnergy3, appartiene a una famiglia di strumenti che sarebbero stati usati da un gruppo Apt (chiamato proprio BlackEnergy) promosso a sua volta dal governo russo, almeno secondo il già citato Istituto per la tecnologia delle infrastrutture critiche. Dunque attribuzione chiara? Diaz di nuovo è scettico, perché «sappiamo poco su chi lo ha effettivamente usato». La ragione sta anche nel tipo di software malevolo adottato. BlackEnergy è un kit di strumenti impiegato da anni da diverse organizzazioni criminali, venduto nell’underground russo dal 2007, spiega un rapporto della società di sicurezza finlandese F-Secure. La sua modularità e popolarità lo hanno diffuso tra gang diverse, molte delle quali lo usano per rubare credenziali bancarie. «L’uso di BlackEnergy per attacchi di natura politica è una intrigante convergenza fra attività criminali e spionaggio», scrive F-Secure.
 Processo bidirezionale
La sovrapposizione di criminali e spie, o quanto meno dei loro strumenti, è un processo bidirezionale. Da un lato gli Stati comprano vulnerabilità informatiche anche dai mercati neri; dall’altro, «quando un certo strumento, un malware in mano a gruppi statali viene scoperto dai ricercatori, allora viene condiviso con cybercriminali, confondendo gli analisti», commenta Chandiramani. Anche perché definizioni e report provano a incasellare realtà variegate, dalle appartenenze fluide, specie se si scantona nell’ambito della cybercriminalità.
«Apt è un espressione usata da voi giornalisti; noi siamo un gruppo di russi, attivi da sette anni, anche se non lavoriamo per il governo. Vendiamo vari strumenti e 0day e abbiamo una percentuale dalla condivisione di alcune risorse», ci scrive un hacker russo individuato attraverso il suo sito web, da cui vende vari tipi di malware e 0day. Il sito è collegato a un account Twitter che allude a un’appartenenza a Sofacy, ma non è stato possibile verificare tale legame. «Non tocchiamo dati di carte di credito o siti bancari. Diciamo che il nostro è più un hobby. Abbiamo attaccato siti in Germania, Stati Uniti, Svezia, anche se in quest’ultimo Paese ci interessava solo l’azienda dell’energia Vattenfall». La bizzarra conversazione – avvenuta a metà tra inglese e russo, e analizzata con l’aiuto dal ricercatore dell’università di Trento Luca Allodi, conoscitore dei forum della cybercriminalità russa – cita un episodio poco noto, che sarebbe avvenuto poco tempo prima. A parlare per la prima volta di un possibile cyber attacco subito in Svezia da Vattenfall, una grossa compagnia energetica del Nord Europa, è a metà aprile una testata norvegese, citando, senza nominarle, fonti Nato. Nello stesso periodo l’intelligence svedese accusa la Russia di aver mandato in tilt, con un attacco informatico, il sistema di controllo del traffico aereo nei suoi aeroporti per alcuni giorni, nel novembre 2015. Inizialmente era stata data la colpa a una tempesta solare. È probabile che l’hacker con cui abbiamo parlato si sia intestato un attacco fatto da altri. Ma è anche possibile che l’attacco non sia mai avvenuto, poiché nessuno ha avuto modo di verificarlo davvero.
Sherlock Holmes dei virus 
La questione della corretta identificazione degli autori di cyberattacchi è così delicata che a fine aprile la Darpa, l’agenzia per la ricerca avanzata della Difesa Usa, ha pubblicato un bando per un progetto di ricerca solo su questo.
Quello che possono fare nel mentre gli Sherlock Holmes dei virus è cercare di stare ancorati a frammenti di evidenze, da incastrare in un puzzle. Così si inizia da un pezzo di malware, dalla mail che lo ha veicolato, si cercano altre vittime.
«Anche se cresce la pratica tra gli Apt di nascondersi dietro strumenti e attacchi di basso livello, che sembrino casuali, per non destare sospetti», commenta Diaz, che poi prova a elencare i gruppi più dinamici e potenti sulla scena attuale. «Nel 2015 Sofacy è stato sicuramente uno dei più attivi. Ma non va dimenticato Equation Group».
Equation Group sarebbe una sorta di unità d’élite di cyberspionaggio individuata proprio da Kaspersky nel 2015, e tracciata da alcuni fino all’americana National Security Agency. Del resto le potenze in campo sono queste: Usa, Russia, Israele, Cina, Francia, Uk e – dato in ascesa – lo stesso Iran. Sulla Corea del Nord restano opinioni contrastanti. Mentre per quanto riguarda la Cina, «dopo l’accordo del 2015 fra Obama e il presidente cinese Xi Jinping per limitare il cyberspionaggio, abbiamo registrato meno movimento da parte dei gruppi di quel Paese», rileva Diaz. Il che, aggiunge il ricercatore, rischia quasi di essere un problema, dal momento che hacker di Stato «disoccupati» potrebbero riciclarsi tra le file della cybercriminalità. 

CAROLA FREDIANI